Piratage d’HBO : une rançon ou une récompense ?

La chaîne américaine HBO est dans l’embarras. Celle-ci s’est en effet fait pirater et les attaquants sont parvenus à exfiltrer des données des serveurs de la société, dont plusieurs fichiers concernant la série phare de la chaîne, Game of Thrones, dont la diffusion est en cours. Ainsi, pour prouver la portée de l’attaque, les pirates avaient diffusé l’épisode 4 de la série avec une semaine d’avance sur les plateformes de téléchargement pair-à-pair. Ils demandent maintenant une rançon à HBO qui s’élèverait à plusieurs millions de dollars afin d’éviter la diffusion de l’archive de 1,5 téraoctet dérobée.

Un bug bounty, soit une récompense, pour patienter

Dans ce type de cas de figure comme pour les ransomware, l’attitude la plus responsable serait bien évidemment de refuser de payer les cybercriminels afin de ne pas encourager ce type de pratique. Mais la tentation est grande et HBO ne déroge pas à la règle. Selon des échanges de mails entre l’exécutif de HBO et les hackers obtenus par Variety et The Hollywood Reporter, les négociations seraient en cours avec les pirates, qui avaient laissé jusqu’à jeudi à l’entreprise pour payer la rançon.

Dans un extrait de mail, un des directeurs exécutifs propose ainsi aux cybercriminels de payer tout d’abord la somme de 250.000 dollars aux hackers, au titre d’un « bug bounty. » Cette proposition de la part de HBO vise à obtenir un délai supplémentaire de la part des cybercriminels, afin de pouvoir réunir l’argent nécessaire au paiement.

On notera néanmoins la dénomination utilisée par le dirigeant, qui ne mentionne pas dans son message un paiement au titre d’une rançon, mais bien au titre du programme de bug bounty proposé par la société. Une manière d’arrondir les angles et de sauver la face de la part de la chaîne. Mais les cybercriminels ne se contenteront pas de 250.000 dollars en bitcoin.

Dans une vidéo adressée aux dirigeants de la chaîne, ils expliquaient que le piratage de HBO avait été difficile pour eux et expliquaient même avoir eu recours à l’achat de vulnérabilités 0day afin de percer les défenses de la chaîne. Ils estiment que la rançon devra donc couvrir 6 mois de travail, le temps qu’il leur a fallu pour mener à bien le vol de données. Mais cela peut tout aussi bien être une stratégie de leur part afin de gonfler la note.


ZDNet vous accompagne

3 questions pour comprendre les bug bounties